ブログに戻る
5 分で読了privacygdprcompliancewcagaccessibility

アクセシビリティのない同意バナーは、もはや1つではなく2つの法的責任を生む

欧州アクセシビリティ法は2025年6月にWCAG 2.2を法的拘束力のあるものにしました。スクリーンリーダーで操作できないバナーはGDPRの同意を無効にします。クッキーフリーのアナリティクスは両方の問題を回避します。

2025年6月28日以降、キーボードユーザーが完全にナビゲートできない同意バナーは、単なるアクセシビリティの欠陥ではなく、GDPR違反です。欧州アクセシビリティ法(EAA)が同日、EU全27加盟国で施行され、WCAG 2.2 Level AAがアナリティクスツールが依存する同意インターフェースを含む、デジタルサービスにとって法的に強制力のある基準となりました。

2つの規制レジームは現在、直接的に結びついています。一方だけを修正してももう一方を放置すれば、依然としてリスクにさらされます。

EAAが実際に要求するもの

EAAは欧州標準EN 301 549にマッピングされ、これは順にWCAG 2.2を参照します。同意インターフェースについて実務上最も重要な要件は次のとおりです。

  • フォーカスが隠れない (WCAG 2.4.11): ユーザーがボタンにタブで移動した際、バナー自体や固定ヘッダーの背後に完全に隠れてはなりません。
  • キーボードアクセシビリティ (WCAG 2.1.1): すべてのインタラクティブ要素(承諾、拒否、設定管理)はマウスなしで到達・操作できなければなりません。
  • 可視のフォーカスインジケーター (WCAG 2.4.7): フォーカスリングは可視でなければなりません。多くの同意管理プラットフォームは美観上の理由でブラウザのデフォルトフォーカススタイルを抑制しており、この基準を満たしません。
  • 十分な色のコントラスト (WCAG 1.4.3): 背景に対するテキストは、本文で4.5:1を満たす必要があります。太字の青い「すべて承諾」ボタンの隣にある薄いグレーの「すべて拒否」リンクは、よくある失敗パターンです。
  • 自動消去禁止: バナーは明示的なユーザー操作なしには閉じられません。数秒後のタイマー付き自動承諾も無効です。

罰則は加盟国により異なります。ドイツは違反1件あたり最大10万ユーロを執行します。スペインは深刻なケースで100万ユーロまで引き上げます。フランスは金銭的罰金と非準拠サービスの停止可能性を組み合わせます。

なぜアクセシビリティ違反がGDPR同意を無効にするのか

GDPR前文32は同意が「自由に与えられ、特定的で、情報に基づき、明確である」ことを要求します。第7条はさらに、同意の撤回は「与えることと同じくらい容易」でなければならないと加えます。これらの要件は、ユーザーが実際に同意インターフェースにアクセスできる場合にのみ成立します。

「拒否」ボタンへナビゲートできないスクリーンリーダーユーザーは、同意を拒否できません。あなたのアナリティクスパイプラインがそのユーザーについて記録する同意は、法的に無意味です。拒否したからではなく、メカニズムがアクセス不可能だったためです。GDPRの下では、これはまったく同意がなかったものとみなされます。

CNILは2025年9月のGoogleに対する執行措置でこの論理を明示しました。3億2500万ユーロの罰金は、部分的に非対称な設計に由来します。承諾には1クリック、拒否には設定画面へのナビゲーションが必要でした。拒否を構造的に承諾より難しくする設計は、キーボードユーザーが完全に操作できないバナーを含め、それが生成するすべての同意記録の法的有効性を損ないます。

監査結果は心強いものではない

2025年に広く利用されている同意管理プラットフォームの独立テストでは、調査対象のソリューションのうちWCAG 2.2 Level AAに完全準拠したものは1つもありませんでした。よくある違反には、抑制されたフォーカスインジケーター、二次アクションボタンの不十分なコントラスト、DOM内で遅く配置されたバナーマークアップ(スクリーンリーダーが同意インターフェースの前にページコンテンツに遭遇する原因)が含まれていました。

これらはエッジケースではありません。何万ものサイトが法的分析を自前で実行せずにアナリティクスを使うために展開しているツールのデフォルト動作です。

準拠したバナーが運用上もたらすコスト

アクセシビリティの問題を修正したとしましょう。スクリーンリーダーが完全にナビゲートでき、キーボードアクセシブルな操作、十分なコントラスト、自動消去なしのバナーができました。それでも次の問題に直面します。

  • 拒否によるデータ損失: 研究は一貫して、訪問者の15〜30%がアナリティクスクッキーを拒否するか、操作せずにバナーを閉じることを示しています。その層はあなたのアナリティクスから不可視です。
  • デバイスごとの同意率の変動: モバイルユーザーはデスクトップユーザーよりも高い割合でバナーを閉じます。アナリティクスデータはデスクトップで承諾したユーザーに体系的に偏ります。
  • 継続的なメンテナンス: WCAG 2.2は既にWCAG 3.0に向けて開発中です。同意プラットフォームの更新ごとに、再テストが必要なアクセシビリティ準拠の回帰リスクが生じます。

バナーの修正はEAA上のリスクに対処しますが、データ品質の問題には対処しません。

構造的な代替案

端末に一切触れないクッキーフリーのアナリティクス(クッキーなし、localStorageなし、フィンガープリンティングなし)はPECRの同意要件を発動させません。同意メカニズムが不要なので、アクセス不可能になる同意インターフェースも存在しません。

日次訪問者ハッシュアプローチ(SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD))はエッジで完全にサーバー側で実行され、永続識別子を生成せず、訪問者の端末に何も保存しません。WCAGが管理する操作はなく、GDPRが検証する同意記録もありません。

これは回避策ではありません。本当に個人データを処理しないアナリティクスシステムを構築することの技術的帰結です。同意するものが何もないとき、同意の仕組みとそのすべての準拠義務は消滅します。

今問うべき2つの質問

サイトが現在同意バナーの背後でアナリティクスを実行している場合、リスクは2つの質問で決まります。

1. Can a keyboard-only user reach the "Reject All" option in your banner
   without a mouse, with a visible focus indicator, on every browser
   you support?

2. If yes — what percentage of visitors reject or dismiss the banner,
   and how does your analytics account for that gap?

最初の質問はEAAの質問です。2つ目はデータ品質の質問です。訪問者の20%が閉じる準拠バナーは、不完全なトラフィックデータに基づいて意思決定を行うにつれて時間とともに複合する20%の盲点を残します。

ナビゲートするバナーがなければ、どちらの質問も生じません。